« 2022年7月 | メイン | 2022年9月 »

2022年8月

2022年8月31日 (水)

■08/21(日)~08/27(土) のセキュリティ関連情報

目 次

【1】Movable TypeのXMLRPC APIにおけるコマンドインジェクションの脆弱性
【2】VMware Toolsに権限昇格の脆弱性
【3】複数のMozilla製品に脆弱性
【4】複数のCisco製品に脆弱性
【5】ユニモテクノロジー製デジタルビデオレコーダにおける重要な機能に対する認証の欠如の脆弱性
【6】PukiWikiにおける複数の脆弱性
【7】Exmentにおける複数の脆弱性
【8】Hardening Designers Conference 2022開催のお知らせ
【今週のひとくちメモ】JAIPA Cloud Conference 2022開催のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223401.html
https://www.jpcert.or.jp/wr/2022/wr223401.xml
============================================================================


【1】Movable TypeのXMLRPC APIにおけるコマンドインジェクションの脆弱性

情報源
Japan Vulnerability Notes JVN#57728859
Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN57728859/

概要
シックス・アパート株式会社が提供するMovable TypeのXMLRPC APIには、コマン
ドインジェクションの脆弱性が存在します。結果として、遠隔の第三者が任意
のOSコマンドを実行する可能性があります。

対象となる製品とバージョンは次のとおりです。

- Movable Type 7 r.5202 およびそれ以前 (Movable Type 7系)
- Movable Type Advanced 7 r.5202 およびそれ以前 (Movable Type Advanced 7系)
- Movable Type 6.8.6 およびそれ以前 (Movable Type 6系)
- Movable Type Advanced 6.8.6 およびそれ以前 (Movable Type Advanced 6系)
- Movable Type Premium 1.52 およびそれ以前
- Movable Type Premium Advanced 1.52 およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに更新または回避策とし
てMovable TypeのXMLRPC API機能を無効化することで解決します。詳細は、開
発者が提供する情報を参照してください。


関連文書 (日本語)
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

【2】VMware Toolsに権限昇格の脆弱性

情報源
CISA Current Activity
VMware Releases Security Update
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/23/vmware-releases-security-update

概要
VMware Toolsには、権限昇格の脆弱性があります。結果として、ゲストOSのユー
ザが権限を昇格する可能性があります。

対象となるバージョンは次のとおりです。

- VMware Tools 12.1.0より前の10系、11系、12系のバージョン(Windows)
- VMware Tools 12.1.0より前の11系、12系のバージョン(Linux)
- VMware Tools 10.3.25より前の10系のバージョン(Linux)

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2022-0024
https://www.vmware.com/security/advisories/VMSA-2022-0024.html

【3】複数のMozilla製品に脆弱性

情報源
CISA Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/23/mozilla-releases-security-updates-firefox-firefox-esr-and

概要
複数のMozilla製品には、脆弱性があります。結果として、攻撃者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 104より前のバージョン
- Mozilla Firefox ESR 102.2より前のバージョン
- Mozilla Firefox ESR 91.13より前のバージョン
- Mozilla Thunderbird 102.2より前のバージョン
- Mozilla Thunderbird 91.13より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 104
https://www.mozilla.org/en-US/security/advisories/mfsa2022-33/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 102.2
https://www.mozilla.org/en-US/security/advisories/mfsa2022-34/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.13
https://www.mozilla.org/en-US/security/advisories/mfsa2022-35/

Mozilla
Security Vulnerabilities fixed in Thunderbird 102.2
https://www.mozilla.org/en-US/security/advisories/mfsa2022-36/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91.13
https://www.mozilla.org/en-US/security/advisories/mfsa2022-37/

【4】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/25/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品には、複数の脆弱性があります。結果として、隣接するネッ
トワーク上の第三者が当該製品上で任意のコードを実行するなどの可能性があ
ります。

影響を受けるバージョンは多岐にわたります。詳細は、Ciscoが提供するアド
バイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco ACI Multi-Site Orchestrator Privilege Escalation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-prvesc-BPFp9cZs

Cisco
Cisco FXOS and NX-OS Software Cisco Discovery Protocol Denial of Service and Arbitrary Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-cdp-dos-ce-wWvPucC9

Cisco
Cisco FXOS Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fxos-cmdinj-TxcLNZNH

Cisco
Cisco NX-OS Software OSPFv3 Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ospfv3-dos-48qutcu

【5】ユニモテクノロジー製デジタルビデオレコーダにおける重要な機能に対する認証の欠如の脆弱性

情報源
Japan Vulnerability Notes JVNVU#90821877
ユニモテクノロジー製デジタルビデオレコーダにおける重要な機能に対する認証の欠如の脆弱性
https://jvn.jp/vu/JVNVU90821877/

概要
ユニモテクノロジー株式会社が提供する複数のデジタルビデオレコーダ製品に
は、重要な機能に対する認証の欠如の脆弱性が存在します。結果として、遠隔
の第三者が当該製品上で任意のOSコマンドを実行する可能性があります。

対象となる製品とバージョンは次のとおりです。

- UDR-JA1004/JA1008/JA1016 ファームウェアバージョン v1.0.20.13およびそれ以前
- UDR-JA1016 ファームウェアバージョン v2.0.20.13およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。


関連文書 (日本語)
ユニモテクノロジー株式会社
UDR-JA1004/JA1008/JA1016 ファームウエアを更新しました
http://www.unimo.co.jp/table_notice/index.php?act=1&resid=1643590226-637355

【6】PukiWikiにおける複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96002401
PukiWikiにおける複数の脆弱性
https://jvn.jp/vu/JVNVU96002401/

Japan Vulnerability Notes JVN#43979089
PukiWiki におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN43979089/

概要
PukiWiki Development Teamが提供するPukiWikiには、複数の脆弱性が存在し
ます。結果として、遠隔の第三者が任意のスクリプトを実行するなどの可能性
があります。

影響を受けるバージョンは多岐にわたります。詳細は、開発者が提供するアド
バイザリ情報を参照してください。

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。


関連文書 (日本語)
PukiWiki Development Team
PukiWiki/Errata
https://pukiwiki.osdn.jp/?PukiWiki/Errata

【7】Exmentにおける複数の脆弱性

情報源
Japan Vulnerability Notes JVN#46239102
Exment における複数の脆弱性
https://jvn.jp/jp/JVN46239102/

概要
株式会社カジトリが提供するExmentには、複数の脆弱性が存在します。結果と
して、データベース内の情報を窃取されたり、改ざんされたりするなどの可能
性があります。

対象となるバージョンは次のとおりです。

- (PHP8) exceedone/exment v5.0.2およびそれ以前、exceedone/laravel-admin v3.0.0およびそれ以前
- (PHP7) exceedone/exment v4.4.2およびそれ以前、exceedone/laravel-admin v2.2.2およびそれ以前

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。


関連文書 (日本語)
株式会社カジトリ
脆弱性対応 クロスサイトスクリプティング、ならびにSQLインジェクション
https://exment.net/docs/#/ja/weakness/20220817

【8】Hardening Designers Conference 2022開催のお知らせ

情報源
Hardening Project
Hardening Designers Conference 2022
https://wasforum.jp/2022/07/hardening-designers-conf2022/

概要
2022年9月1日から、Hardening ProjectはMicro Hardeningを含む3日間のハー
ドニング・コミュニティ・カンファレンスを開催します。今回はHardening Design―
「堅牢化実践のデザイン」をテーマとしています。セキュリティの実践に関心
のある方は参加申し込みが可能です。JPCERT/CCはHardening Designers Conference
2022を後援しています。


関連文書 (日本語)
Hardening Project | Doorkeeper
参加登録ページ
https://hardening.doorkeeper.jp/events/139964


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JAIPA Cloud Conference 2022開催のお知らせ

2022年9月8日、一般社団法人 日本インターネットプロバイダー協会 クラウド
部会は「JAIPA Cloud Conference 2022」をオンラインで開催します。クラウ
ドサービスプロバイダー(IaaS/PaaS/SaaS)、システムインテグレーター、ソ
リューションベンダーなどが参加し、クラウド業界の未来について知見を深め
るイベントです。参加費は無料、参加には事前の申し込みが必要です。JPCERT/CC
はJAIPA Cloud Conference 2022を後援しています。

参考文献 (日本語)
JAIPA Cloud Conference
JAIPA Cloud Conference 2022
https://cloudconference.jaipa.or.jp/

JAIPA Cloud Conference
Facebookページ
https://www.facebook.com/cloudconference.jaipa/

JAIPA Cloud Conference
事前登録ページ
https://cloudcon-stream.jaipa.or.jp/register


――――――――――――――――――――――――――――――――――――――

投稿時刻 10:27 セキュリティ |

2022年8月24日 (水)

■08/14(日)~08/20(土) のセキュリティ関連情報

目 次

【1】複数のApple製品に脆弱性
【2】Cisco Secure Web Applianceに脆弱性
【3】Google Chromeに複数の脆弱性
【4】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性
【5】複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品にリンク解釈の脆弱性
【6】複数のサードパーティ製UEFIブートローダーにSecure Boot回避の脆弱性
【今週のひとくちメモ】日本シーサート協議会が「メール訓練手引書一般公開版 v1.0」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223301.html
https://www.jpcert.or.jp/wr/2022/wr223301.xml
============================================================================


【1】複数のApple製品に脆弱性

情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/18/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコード
を実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOS 15.6.1より前のバージョン
- iPadOS 15.6.1より前のバージョン
- macOS Monterey 12.5.1より前のバージョン
- Safari 15.6.1より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)
Apple
iOS 15.6.1 および iPadOS 15.6.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213412

Apple
macOS Monterey 12.5.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213413

Apple
Safari 15.6.1 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213414

JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年8月)
https://www.jpcert.or.jp/newsflash/2022081801.html

【2】Cisco Secure Web Applianceに脆弱性

情報源
CISA Current Activity
Cisco Releases Security Update for Cisco Secure Web Appliance
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/18/cisco-releases-security-update-cisco-secure-web-appliance

概要
Cisco Secure Web Applianceには、権限昇格の脆弱性があります。結果として
遠隔の第三者がrootに権限昇格をする可能性があります。本脆弱性を悪用する
ためには、少なくとも認証情報を知る必要があります。

対象となるバージョンは次のとおりです。

- Cisco AsyncOS for Secure Web Appliance 12.5
- Cisco AsyncOS for Secure Web Appliance 14.0
- Cisco AsyncOS for Secure Web Appliance 14.5

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。なお、Cisco AsyncOS for Secure Web Appliance 12.5
および14.0の修正バージョンは今後リリースを予定しています。詳細は、
Ciscoが提供する情報を参照してください。

関連文書 (日本語)
Cisco
Cisco Secure Web アプライアンスの特権昇格の脆弱性
https://www.cisco.com/c/ja_jp/support/docs/csa/2022/cisco-sa-wsa-prv-esc-8PdRU8t8.html

【3】Google Chromeに複数の脆弱性

情報源
Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html

概要
Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 104.0.5112.101より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【4】トレンドマイクロ製ウイルスバスター クラウドに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#93109244
トレンドマイクロ製ウイルスバスター クラウドにおける複数の脆弱性
https://jvn.jp/vu/JVNVU93109244/

概要
トレンドマイクロ株式会社が提供するウイルスバスター クラウドには、複数
の脆弱性があります。結果として、第三者が機微な情報を窃取するなどの可能
性があります。

対象となるバージョンは次のとおりです。

- ウイルスバスター クラウド バージョン17.7
- ウイルスバスター クラウド バージョン17.0

この問題は、トレンドマイクロ株式会社が提供する修正済みのバージョンに更
新することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報
を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-30702)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11019

トレンドマイクロ株式会社
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2022-30703)
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11020

【5】複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品にリンク解釈の脆弱性

情報源
Japan Vulnerability Notes JVNVU#96643038
トレンドマイクロ製企業向けエンドポイントセキュリティ製品におけるリンク解釈に関する脆弱性
https://jvn.jp/vu/JVNVU96643038/

概要
トレンドマイクロ株式会社が提供する企業向けエンドポイントセキュリティ製
品には、リンク解釈の脆弱性があります。結果として、製品がインストールさ
れたシステムにログイン可能なユーザーによって、管理者権限を取得される可
能性があります。

対象となる製品およびバージョンは次のとおりです。

- Trend Micro Apex One 2019
- Trend Micro Apex One SaaS
- ウイルスバスター ビジネスセキュリティ 10.0 SP1
- ウイルスバスター ビジネスセキュリティサービス 6.7

この問題は、該当する製品のスパイウェアパターンをトレンドマイクロ株式会
社が提供する修正済みのスパイウェアパターンに更新することで解決します。
詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:トレンドマイクロのエンドポイント製品におけるリンク解釈の脆弱性について
https://success.trendmicro.com/jp/solution/000291302

【6】複数のサードパーティ製UEFIブートローダーにSecure Boot回避の脆弱性

情報源
Japan Vulnerability Notes JVNVU#99109219
複数のサードパーティ製UEFIブートローダーにおけるSecure Boot回避の脆弱性
https://jvn.jp/vu/JVNVU99109219/

概要
複数のサードパーティ製UEFIブートローダーには、ブートプロセスにおいて
Secure Bootが回避される脆弱性があります。結果として、未署名のコードが
実行される可能性があります。

対象となるブートローダーは次のとおりです。

- New Horizon Datasys Inc(CVE-2022-34302)
- CryptoPro Secure Disk(CVE-2022-34301)
- Eurosoft (UK) Ltd(CVE-2022-34303)

この問題は、各ベンダーが提供する情報をもとにファームウェアアップデート
あるいはパッチをすることで解決します。詳細は、ベンダーが提供する情報を
参照してください。

関連文書 (英語)
Microsoft
KB5012170: Security update for Secure Boot DBX: August 9, 2022
https://support.microsoft.com/en-us/topic/kb5012170-security-update-for-secure-boot-dbx-august-9-2022-72ff5eed-25b4-47c7-be28-c42bd211bb15

Eclypsium
One Bootloader to Load Them All
https://eclypsium.com/2022/08/11/vulnerable-bootloaders-2022/

Unified Extensible Firmware Interface Forum
UEFI Revocation List File
https://uefi.org/revocationlistfile

CERT/CC Vulnerability Note VU#309662
Signed third party UEFI bootloaders are vulnerable to Secure Boot bypass
https://kb.cert.org/vuls/id/309662


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○日本シーサート協議会が「メール訓練手引書一般公開版 v1.0」を公開

2022年8月18日、日本シーサート協議会は、企業や組織が標的型攻撃メールや
フィッシングメールなどに対する訓練を行えるよう支援する資料「メール訓練
手引書一般公開版 v1.0」をWebサイトで公開しました。

参考文献 (日本語)
日本シーサート協議会
メール訓練手法検討サブ WG の活動概要
https://www.nca.gr.jp/activity/nca-mail-exercise-swg.html


――――――――――――――――――――――――――――――――――――――

投稿時刻 11:13 セキュリティ |

2022年8月17日 (水)

■08/07(日)~08/13(土) のセキュリティ関連情報

目 次

【1】複数のマイクロソフト製品に脆弱性
【2】複数のアドビ製品に脆弱性
【3】複数のVMware製品に脆弱性
【4】複数のIntel製品に脆弱性
【5】複数のCisco製品に脆弱性
【6】Palo Alto Networks製品に脆弱性
【今週のひとくちメモ】JPCERT/CCが「A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223201.html
https://www.jpcert.or.jp/wr/2022/wr223201.xml
============================================================================


【1】複数のマイクロソフト製品に脆弱性

情報源
CISA Current Activity
Microsoft Releases August 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/09/microsoft-releases-august-2022-security-updates

概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はマイクロソフト株式会社が提供
するアドバイザリ情報を参照してください。

この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
ださい。

関連文書 (日本語)
マイクロソフト株式会社
2022 年 8 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/08/09/202208-security-updates/

JPCERT/CC 注意喚起
2022年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220021.html

【2】複数のアドビ製品に脆弱性

情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/09/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Adobe Commerce
- Magento Open Source
- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe Illustrator
- Adobe FrameMaker
- Adobe Premiere Elements

この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、アドビが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC 注意喚起
Adobe AcrobatおよびReaderの脆弱性(APSB22-39)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220020.html

JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022081002.html

関連文書 (英語)
アドビ
Security update available for Adobe Commerce | APSB22-38
https://helpx.adobe.com/security/products/magento/apsb22-38.html

アドビ
Security update available for Adobe Acrobat and Reader | APSB22-39
https://helpx.adobe.com/security/products/acrobat/apsb22-39.html

アドビ
Security Updates Available for Adobe Illustrator | APSB22-41
https://helpx.adobe.com/security/products/illustrator/apsb22-41.html

アドビ
Security Updates Available for Adobe FrameMaker | APSB22-42
https://helpx.adobe.com/security/products/framemaker/apsb22-42.html

アドビ
Security updates available for Adobe Premiere Elements | APSB22-43
https://helpx.adobe.com/security/products/premiere_elements/apsb22-43.html

【3】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/09/vmware-releases-security-updates

概要
複数のVMware製品には、脆弱性があります。結果として、管理ネットワークに
アクセスできる第三者がrootに権限昇格するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- VMware vRealize Operations 8.6.4より前の8系のバージョン
- VMware Workstation 16.2.4より前の16系のバージョン(Windows)

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、VMwareが提供する情報を参照してください。

関連文書 (英語)
VMware
VMSA-2022-0022
https://www.vmware.com/security/advisories/VMSA-2022-0022.html

VMware
VMSA-2022-0023
https://www.vmware.com/security/advisories/VMSA-2022-0023.html

【4】複数のIntel製品に脆弱性

情報源
Japan Vulnerability Notes JVNVU#99494206
Intel製品に複数の脆弱性(2022年8月)
https://jvn.jp/vu/JVNVU99494206/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security
Center Advisoriesが公開されました。

詳細は、Intelが提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Intel製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2022081001.html

関連文書 (英語)
Intel
Intel Product Security Center Advisories
https://www.intel.com/content/www/us/en/security-center/default.html

【5】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Update for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/11/cisco-releases-security-update-multiple-products

概要
複数のCisco製品には、影響度Highを含む複数の脆弱性があります。結果とし
て、遠隔の第三者がRSA秘密鍵を窃取するなどの可能性があります。

対象となる製品は次のとおりです。

- Cisco Adaptive Security Appliance(ASA)ソフトウェア
- Cisco Firepower Threat Defense(FTD)ソフトウェア

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Security Advisories
https://tools.cisco.com/security/center/publicationListing.x

Cisco
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software RSA Private Key Leak Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-rsa-key-leak-Ms7UEfZz

Cisco
Cisco Adaptive Security Appliance Software Clientless SSL VPN Client-Side Request Smuggling Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-webvpn-LOeKsNmO

【6】Palo Alto Networks製品に脆弱性

情報源
CISA Current Activity
Palo Alto Networks Releases Security Update for PAN-OS
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/10/palo-alto-networks-releases-security-update-pan-os

概要
Palo Alto Networksが提供するPAN-OSには、脆弱性があります。結果として、
遠隔の第三者が当該製品を経由して反射型のサービス運用妨害(DoS)攻撃を
行う可能性があります。

対象となるバージョンは次のとおりです。

- PAN-OS 10.2.2-h2より前の10.2系のバージョン
- PAN-OS 10.1.6-h6より前の10.1系のバージョン
- PAN-OS 10.0.11-h1より前の10.0系のバージョン
- PAN-OS 9.1.14-h4より前の9.1系のバージョン
- PAN-OS 9.0.16-h3より前の9.0系のバージョン
- PAN-OS 8.1.23-h1より前の8.1系のバージョン

この問題は、該当する製品をPalo Alto Networksが提供する修正済みのバージョ
ンに更新または回避策を適用することで解決します。詳細は、Palo Alto Networks
が提供する情報を参照してください。

関連文書 (英語)
Palo Alto Networks
CVE-2022-0028 PAN-OS: Reflected Amplification Denial-of-Service (DoS) Vulnerability in URL Filtering
https://security.paloaltonetworks.com/CVE-2022-0028


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩」を公開

2022年8月9日、JPCERT/CCは「A File Format to Aid in Security Vulnerability
Disclosure - 正しくつながる第一歩」と題したブログをJPCERT/CC Eyesで公
開しました。本ブログでは、脆弱性調整を行う機関や脆弱性発見者が開発者と
の連携をしやすくするために、開発者組織が実施可能な対策の一つとして、今
年、2022年4月に正式公開された「RFC 9116:A File Format to Aid in Security
Vulnerability Disclosure」を紹介しています。

参考文献 (日本語)
JPCERT/CC Eyes
A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩
https://blogs.jpcert.or.jp/ja/2022/08/rfc9116-introduction.html


――――――――――――――――――――――――――――――――――――――

投稿時刻 10:13 セキュリティ |

2022年8月10日 (水)

■07/31(日)~08/06(土) のセキュリティ関連情報

目 次

【1】muhttpdにディレクトリトラバーサルの脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のF5 Networks製品に脆弱性
【4】複数のVMware製品に脆弱性
【5】Kaitai Struct: compilerにサービス運用妨害(DoS)の脆弱性
【今週のひとくちメモ】連載「標準から学ぶICSセキュリティ」の初回を公表

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223101.html
https://www.jpcert.or.jp/wr/2022/wr223101.xml
============================================================================


【1】muhttpdにディレクトリトラバーサルの脆弱性

情報源
Japan Vulnerability Notes JVNVU#97753810
muhttpdにおけるディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU97753810/

概要
muhttpdには、ディレクトリトラバーサルの脆弱性があります。結果として、
muhttpdが動作する機器にアクセス可能な第三者が、機器内の任意のファイル
を窃取する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- muhttpd バージョン 1.1.5およびそれ以前

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。
また、muhttpdが動作する機器を提供するベンダの情報を適宜確認してくださ
い。

関連文書 (英語)
SOURCEFORGE
muhttpd
https://sourceforge.net/projects/muhttpd/

Derek Abdine
Arris / Arris-variant DSL/Fiber router critical vulnerability exposure
https://derekabdine.com/blog/2022-arris-advisory

Software Engineering Institute
muhttpd versions 1.1.5 and earlier are vulnerable to path traversal
https://kb.cert.org/vuls/id/495801

【2】複数のCisco製品に脆弱性

情報源
CISA Current Activity
Cisco Releases Security Updates for RV Series Routers
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/cisco-releases-security-updates-rv-series-routers

概要
複数のCisco製品には、複数の脆弱性があります。結果として、遠隔の第三者
が当該製品上で任意のコードを実行するなどの可能性があります。

影響を受けるバージョンは多岐にわたります。詳細は、Ciscoが提供するアド
バイザリ情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

関連文書 (英語)
Cisco
Cisco Small Business RV Series Routers Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-mult-vuln-CbVp4SUR

Cisco
Cisco Webex Meetings Web Interface Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-xss-frmhijck-kO3wmkuS

Cisco
Cisco Identity Services Engine Sensitive Information Disclosure Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-pwd-WH64AhQF

Cisco
Cisco Unified Communications Manager Arbitrary File Deletion Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-file-delete-N2VPmOnE

Cisco
Cisco BroadWorks Application Delivery Platform Software Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-broadworks-xss-xbhfr4cD

Cisco
Cisco Email Security Appliance and Cisco Secure Email and Web Manager External Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD

【3】複数のF5 Networks製品に脆弱性

情報源
CISA Current Activity
F5 Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/f5-releases-security-updates

概要
複数のF5 Networks製品には、複数の脆弱性があります。結果として、遠隔の
第三者がサービス運用妨害(DoS)攻撃を行うなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はF5 Networksが提供するアドバ
イザリ情報を参照してください。

この問題は、該当する製品をF5 Networksが提供する修正済みのバージョンに
更新することで解決します。詳細は、F5 Networksが提供する情報を参照して
ください。

関連文書 (英語)
F5 Networks
K14649763: Overview of F5 vulnerabilities (August 2022)
https://support.f5.com/csp/article/K14649763

【4】複数のVMware製品に脆弱性

情報源
CISA Current Activity
VMware Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/03/vmware-releases-security-updates-0

概要
複数のVMware製品には、脆弱性があります。結果として、遠隔の第三者が認証
をバイパスすることで当該製品の管理者権限を取得し、任意のコードを実行す
るなどの可能性があります。

対象となる製品は次のとおりです。対象となるバージョンは多岐にわたります。
詳細はVMwareが提供するアドバイザリ情報を参照してください。

- VMware Workspace ONE Access (Access)
- VMware Workspace ONE Access Connector (Access Connector)
- VMware Identity Manager (vIDM)
- VMware Identity Manager Connector (vIDM Connector)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。


関連文書 (英語)
VMware
VMSA-2022-0021
https://www.vmware.com/security/advisories/VMSA-2022-0021.html

【5】Kaitai Struct: compilerにサービス運用妨害(DoS)の脆弱性

情報源
Japan Vulnerability Notes JVN#42883072
Kaitai Struct: compiler におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN42883072/

概要
Kaitai Struct: compilerには、サービス運用妨害(DoS)の脆弱性があります。
結果として、遠隔の第三者からサービス運用妨害(DoS)攻撃を受ける可能性が
あります。

対象となるバージョンは次のとおりです。

- Kaitai Struct: compiler 0.9およびそれ以前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)
github
kaitai-io /kaitai_struct_compiler
https://github.com/kaitai-io/kaitai_struct_compiler

github
Update SnakeYAML to 1.29 (was 1.25: vulnerable to "billion laughs")
https://github.com/kaitai-io/kaitai_struct_compiler/commit/50f80d7eca36983ca0b7f354d12656ec62e639eb


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○連載「標準から学ぶICSセキュリティ」の初回を公表

2022年8月4日、JPCERT/CCは連載「標準から学ぶICSセキュリティ」の初回を公
表しました。同連載では、産業用制御システム(ICS)の現場を担当されてい
る方々や、ICSセキュリティ課題に関心をお持ちの方々に役立てていただくこ
とを目的に、ICSセキュリティの国際標準であるIEC 62443シリーズおよびその
中で定義されているセキュリティ概念を順次紹介していきます。

参考文献 (日本語)
JPCERT/CC Eyes
連載「標準から学ぶICSセキュリティ」の初回を公表しました
https://blogs.jpcert.or.jp/ja/2022/08/ics-sec-standards-01.html


――――――――――――――――――――――――――――――――――――――

投稿時刻 15:26 セキュリティ |

2022年8月 3日 (水)

■07/24(日)~07/30(土) のセキュリティ関連情報

目 次

【1】Sambaに複数の脆弱性
【2】複数のMozilla製品に脆弱性
【3】SonicWall Global Management SystemおよびAnalyticsにSQLインジェクションの脆弱性
【4】複数のCitrix製品に脆弱性
【5】ニンテンドーWi-Fiネットワークアダプタに複数の脆弱性
【6】「JUSTオンラインアップデート for J-License」における実行ファイルのパスが引用符で囲まれていない脆弱性
【7】「Hulu/フールー」iOSアプリにサーバー証明書の検証不備の脆弱性
【8】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223001.html
https://www.jpcert.or.jp/wr/2022/wr223001.xml
============================================================================


【1】Sambaに複数の脆弱性

情報源
CISA Current Activity
Samba Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/27/samba-releases-security-updates

概要
Sambaには、複数の脆弱性があります。結果として、攻撃者がドメインの管理
者権限を取得するなどの可能性があります。

影響を受けるバージョンは多岐にわたります。詳細は、The Samba Teamが提供
するアドバイザリ情報を参照してください。

この問題は、SambaをThe Samba Teamが提供する修正済みのバージョンに更新
することで解決します。詳細は、The Samba Teamが提供する情報を参照してく
ださい。


関連文書 (英語)
The Samba Team
Samba Security Releases
https://www.samba.org/samba/history/security.html

【2】複数のMozilla製品に脆弱性

情報源
Mozilla
Mozilla Foundation Security Advisories
https://www.mozilla.org/en-US/security/advisories/

概要
複数のMozilla製品には、脆弱性があります。結果として、攻撃者が任意の
コードを実行するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Mozilla Firefox 103より前のバージョン
- Mozilla Firefox ESR 91.12より前のバージョン
- Mozilla Firefox ESR 102.1より前のバージョン
- Mozilla Thunderbird 91.12より前のバージョン
- Mozilla Thunderbird 102.1より前のバージョン

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

関連文書 (英語)
Mozilla
Security Vulnerabilities fixed in Firefox 103
https://www.mozilla.org/en-US/security/advisories/mfsa2022-28/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 91.12
https://www.mozilla.org/en-US/security/advisories/mfsa2022-29/

Mozilla
Security Vulnerabilities fixed in Firefox ESR 102.1
https://www.mozilla.org/en-US/security/advisories/mfsa2022-30/

Mozilla
Security Vulnerabilities fixed in Thunderbird 91.12
https://www.mozilla.org/en-US/security/advisories/mfsa2022-31/

Mozilla
Security Vulnerabilities fixed in Thunderbird 102.1
https://www.mozilla.org/en-US/security/advisories/mfsa2022-32/

【3】SonicWall Global Management SystemおよびAnalyticsにSQLインジェクションの脆弱性

情報源
SonicWall
Unauthenticated SQL Injection in SonicWall GMS and Analytics
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0007

概要
SonicWall Global Management SystemおよびAnalyticsには、SQLインジェク
ションの脆弱性があります。結果として、遠隔の第三者がデータベースを不正
に操作する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- SonicWall Global Management System 9.3.1-SP2-Hotfix1およびそれ以前
- SonicWall Analytics 2.5.0.3-2520およびそれ以前

この問題は、SonicWallが提供するパッチを適用することで解決します。詳細
は、SonicWallが提供する情報を参照してください。


関連文書 (英語)
SonicWall
Security Notice: SonicWall GMS SQL Injection Vulnerability
https://www.sonicwall.com/support/knowledge-base/security-notice-sonicwall-gms-sql-injection-vulnerability/220613083124303/

【4】複数のCitrix製品に脆弱性

情報源
Citrix
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27509
https://support.citrix.com/article/CTX457836/

概要
複数のCitrix製品には、データの信頼性確認が不十分である脆弱性があります。
結果として、攻撃者が特別に細工したURLを用意し、不正なWebサイトにリダイ
レクトさせる可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Citrix ADCおよびCitrix Gateway 13.1-24.38より前の13.1系のバージョン
- Citrix ADCおよびCitrix Gateway 13.0-86.17より前の13.0系のバージョン
- Citrix ADCおよびCitrix Gateway 12.1-65.15より前の12.1系のバージョン
- Citrix ADC 12.1-FIPS 12.1-55.282より前のバージョン
- Citrix ADC 12.1-NDcPP 12.1-55.282より前のバージョン

この問題は、該当する製品をCitrixが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Citrixが提供する情報を参照してください。

【5】ニンテンドーWi-Fiネットワークアダプタに複数の脆弱性

情報源
Japan Vulnerability Notes JVNVU#17625382
ニンテンドーWi-Fiネットワークアダプタ WAP-001 における複数の脆弱性
https://jvn.jp/jp/JVN17625382/

概要
任天堂株式会社が提供するニンテンドーWi-FiネットワークアダプタWAP-001
には、複数の脆弱性が存在します。結果として、当該製品の管理画面にログイ
ン可能なユーザーが任意のコードやOSコマンドを実行するなどの可能性があり
ます。

対象となる製品およびバージョンは次のとおりです。

- ニンテンドーWi-FiネットワークアダプタWAP-001すべてのバージョン

当該製品のサポートはすでに終了しているため、開発者によると恒久的な対策
として、製品の使用を中止するようアナウンスされています。詳細は、開発者
が提供する情報を参照してください。

関連文書 (日本語)
任天堂株式会社
「ニンテンドーWi-Fi USBコネクタ」および「ニンテンドーWi-Fiネットワークアダプタ」使用中止のお願い
https://www.nintendo.co.jp/support/information/2022/0720.html

【6】「JUSTオンラインアップデート for J-License」における実行ファイルのパスが引用符で囲まれていない脆弱性

情報源
Japan Vulnerability Notes JVNVU#57073973
「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性
https://jvn.jp/jp/JVN57073973/

概要
複数の法人ユーザー向けジャストシステム製品に同梱されている「JUSTオンラ
インアップデート for J-License」は、特定のプログラムを実行する際に実行
ファイルのパスが引用符で囲まれていない脆弱性が存在します。結果として、
攻撃者が当該Windowsサービスの実行権限で不正なファイルを実行する可能性
があります。

対象となる製品は多岐に渡ります。詳細は株式会社ジャストシステムが提供す
る情報を参照してください。

この問題は、株式会社ジャストシステムが提供する修正済みのバージョンに更
新することで解決します。詳細は、株式会社ジャストシステムが提供する情報
を参照してください。

関連文書 (日本語)
株式会社ジャストシステム
[JS22001]ライセンス商品に添付のオンラインアップデート機能の脆弱性対策
https://www.justsystems.com/jp/corporate/info/js22001.html

【7】「Hulu/フールー」iOSアプリにサーバー証明書の検証不備の脆弱性

情報源
Japan Vulnerability Notes JVN#81563390
iOS アプリ「Hulu / フールー」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN81563390/

概要
HJホールディングス株式会社が提供する「Hulu/フールー」iOSアプリには、
サーバー証明書の検証不備の脆弱性があります。結果として、悪意のある第三
者が中間者攻撃による暗号通信の盗聴を行う可能性があります。

対象となる製品およびバージョンは次のとおりです。

- iOSアプリ「Hulu/フールー」バージョン3.0.81より前のバージョン

この問題は、HJホールディングス株式会社が提供する修正済みのバージョンに
更新することで解決します。詳細は、HJホールディングス株式会社が提供する
情報を参照してください。

関連文書 (日本語)
HJホールディングス株式会社
【脆弱性情報】「Hulu / フールー」iOS版における SSL サーバ証明書の検証不備の脆弱性に関するお知らせ
https://help.hulu.jp/hc/ja/articles/8358166490649/

【8】WordPress用プラグインNewsletterにクロスサイトスクリプティングの脆弱性

情報源
Japan Vulnerability Notes JVN#77850327
WordPress 用プラグイン Newsletter におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN77850327/

概要
WordPress用プラグインNewsletterには、クロスサイトスクリプティングの脆
弱性が存在します。結果として、当該プラグインを使用しているWordPressに
管理者権限でログインしているユーザーのWebブラウザー上で、任意のスクリ
プトを実行される可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Newsletter 7.4.5より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)
Stefano Lissa & The Newsletter Team
Newsletter - Send awesome emails from WordPress
https://ja.wordpress.org/plugins/newsletter/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備」を公開

2022年7月29日、JPCERT/CCは「サイバー政策動向を知ろう Watch! Cyber
World vol.3 | 中国の法整備」をJPCERT/CC Eyesで公開しました。JPCERT/CC
は、サイバーセキュリティ政策に関する諸外国の動向調査として政府機関、国
際機関、企業などのニュースの収集を行っています。
vol.3となる今回は、中国におけるサイバーセキュリティ関連の法整備に関し
て解説しています。

参考文献 (日本語)
JPCERT/CC Eyes
サイバー政策動向を知ろう Watch! Cyber World vol.3 | 中国の法整備
https://blogs.jpcert.or.jp/ja/2022/07/cyberworld3.html


――――――――――――――――――――――――――――――――――――――

投稿時刻 13:29 セキュリティ |